注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
权限标记为Foundry中的文件、文件夹和项目提供了额外的访问控制层。权限标记定义了限制可见性和操作的资格标准,只有符合这些标准的用户才能访问资源。要访问某个资源,用户必须是该资源上应用的所有权限标记的成员。平台管理员通常在组织内管理权限标记。
访问权限标记是二元的(全有或全无)。无论角色如何,用户必须满足所有权限标记要求,否则无法以任何方式访问文件。
权限标记旨在允许数据保护官员集中管理和审计谁可以访问任何给定的数据类别。权限标记的一个常见应用案例是限制对个人身份信息(PII)的访问。例如,您可能有一组用户,他们只有在完成一系列培训后才有资格访问敏感的PII数据。平台管理员可以创建一个PII
权限标记并将其应用于敏感数据集。此权限标记确保对PII的访问仅限于合适的用户,不能超出该组共享。
权限标记是强制性控制,而角色是可选择性控制。强制性控制通过要求用户拥有特定的权限标记来限制访问数据。权限标记本身的扩展访问权限是一个集中管理的权限,需要此权限才能移除权限标记。例如,即使用户对一个标记有PII
权限标记的数据集拥有所有者角色,他们的所有者角色也不允许他们在没有扩展访问权限的情况下移除权限标记。相对而言,可选择性控制通过数据共享工作流程扩展访问而无需集中限制。例如,任何对某个资源拥有所有者角色的用户都可以将所有者角色授予其他用户或组。
用户必须是文件、文件夹或项目上所有权限标记的成员才能获得访问权限,因为权限标记是合取的(布尔AND
)。
权限标记沿文件层次结构和直接依赖关系继承,并通过变换和分析逻辑传播。所有从标记的文件、文件夹或项目派生的资源都将继承权限标记,除非明确移除权限标记。与基于角色的访问不同,权限标记随数据一起移动。文件可以通过两种方式继承权限标记:通过文件层次结构和/或通过数据依赖关系。
文件可以通过包含的项目或文件夹继承权限标记。如果项目或文件夹有权限标记,则其中的每个文件或文件夹都继承该权限标记。这意味着限制对项目或文件夹的访问总是会限制对其内部所有内容的访问。
以下截图显示了在假定的数据集上沿文件层次结构继承的PII
权限标记。
限制对数据集的访问总是限制对从中派生的数据的访问。这是因为数据集文件可以从其依赖的数据集中继承权限标记,例如上游数据集。如果数据集有文件权限标记,则所有依赖于它的数据集都会继承该权限标记,而继承的权限标记被称为数据标记。
以下截图显示了在假定的数据集上沿数据依赖关系继承的PII
权限标记。
请注意,用户可能在不满足上游数据集继承的数据访问要求的情况下满足文件访问要求。在这种情况下,用户可以检测派生数据集的存在并查看文件元数据,但无法访问文件数据集中的数据,如下图所示。这与用户无法发现资源因为不满足文件权限标记要求的情况不同。
应用权限标记被视为敏感操作,因为权限标记会立即沿所有文件和数据依赖关系继承。这可能会无意中锁定下游的其他用户。在使用权限标记之前,请查看如何安全应用权限标记。
同样,移除权限标记也被视为敏感操作。您可以从最初应用权限标记的文件、文件夹或项目中移除权限标记,这将立即移除下游文件和数据依赖关系中的权限标记。或者,可以在变换中移除权限标记,这只会沿数据依赖关系移除权限标记。在移除权限标记之前,了解如何安全移除权限标记。
权限标记旨在限制对文件、文件夹和项目等资源的访问。权限标记不应被用于提供访问权限。当用户满足一组权限标记标准时,他们将获得对权限标记和相关资源的访问。然而,有资格访问的用户不应总是拥有访问权限。用户应基于项目上的基于角色的权限被授予对文件的访问。
例如,假设使用PII
权限标记来限制对包含员工PII的所有Foundry数据的访问。此PII可能存在于财务记录中(如社会安全号码)、健康记录中(如年龄、性别或诊断信息)或其他个人数据(如姓名或地址)。
要处理PII,用户需要接受适当的培训。假设财务部门的一名用户已完成所需培训并有资格获得PII
权限标记。由于该用户来自财务部门,因此用户在一个财务数据项目上被授予只读
角色。即使此用户有资格查看其他包含员工PII的数据,他们在项目中的角色仍然决定他们的访问级别。
权限标记应被用于定义需要额外保护的敏感数据的访问限制。有几种方法可以应用与数据敏感性相关的权限标记:
PII
权限标记。销售数据
权限标记,只有合格的用户才能获得对销售数据的访问。原始数据
权限标记以限制未经授权用户的访问。在处理以移除PII(如哈希或加密)后,管理员可以移除原始数据
权限标记并应用其他相关权限标记以进一步确保数据在管道中的安全。在Foundry中的权限标记实现可能会使用上述策略的组合。例如,您可以在管道的起始处应用原始数据
权限标记,然后在处理后按敏感数据类别应用权限标记。
考虑一个假想的医疗机构中三个层级的敏感患者数据:
合成数据
权限标记标记。去标识数据
权限标记标记。可识别数据
权限标记标记。在这种情况下,数据层级是分层的,具有可识别数据
权限标记的用户也可以访问去标识数据
权限标记和合成数据
权限标记。类似地,具有去标识数据
权限标记的用户也可以访问合成数据
权限标记。
在Foundry中,带有标识符的数据(用可识别数据
权限标记标记)通过移除标识符字段被变换为去标识数据(用去标识数据
权限标记标记)。权限标记管理者或数据所有者会审核变换逻辑中的任何更改以确保去标识数据中没有标识符。额外的复杂变换生成合成数据,并用合成数据
权限标记标记。在这些变换阶段中,显示在以下截图中的假想数据中,移除先前的权限标记并添加一个突出数据更新状态的权限标记。
案例调查数据特别敏感,如反洗钱调查。一个案例的数据不能与另一个案例的数据混合。此外,当调查员正在审查不同的案例时,该案例的数据不应对调查员可见。权限标记能够实现这些案例访问限制:
案例 - xxxxxx
权限标记标记,其中xxxxxx
表示案例编号。在一个假想的银行中,每个团队或部门对其产生或管理的数据拥有完全控制权。即,每个团队决定哪个其他团队可以访问其数据资产,无论是整体还是部分。对于此示例,我们通过考虑与权限标记对应的团队来简化组织设置:消费者金融、内部合规和市场营销。
消费者金融
和市场营销
权限标记的访问权限。然后,内部合规团队可以验证数据是否正在适当地用于预先批准的工作流程,并进行季度审计。内部合规
权限标记的报告中,其他两个权限标记被移除。只有内部合规团队可以访问这些审计结果。如果内部合规团队想要与DPO(数据保护办公室)共享季度审计报告,内部合规团队可以授予DPO对内部合规
权限标记的访问权限,以便DPO可以审核合规报告。查看管理文档以了解如何配置权限标记。
限定会话使用户可以在他们的Foundry会话期间选择一组预定义的权限标记,以在不同类型的工作之间创建视觉分隔。如果为您的组织启用了限定会话,您可能需要在登录Foundry后选择一个限定会话,将您在Foundry中的访问限制为限定会话中的权限标记子集。
选择限定会话后,将有一个工作区横幅显示限定会话的名称。
如果您有多个限定会话的访问权限,可以将鼠标悬停在工作区横幅上并选择更改限定会话。这将调出登录时看到的限定会话对话框,允许您选择一个限定会话。如果您选择了不同于当前限定会话的会话,页面将刷新,并且您将被限制在您选择的新限定会话中。
某些用户可能有访问无限定会话选项的权限。此选项允许用户绕过限定会话限制并访问其所有权限标记。